Collecte de la sortie d’échantillonnage du trafic dans un fichier
Configurez les résultats de l’échantillonnage du trafic dans un fichier du répertoire /var/tmp . Pour collecter les paquets échantillonnés dans un fichier, incluez l’instruction file au niveau de la [edit forwarding-options sampling output] hiérarchie :
[edit forwarding-options sampling family family-name output] file <disable> filename filename <files number> <size bytes> <stamp | no-stamp > <world-readable | no-world-readable>;
Pour configurer la période de temps avant l’exportation d’un flux actif, incluez l’instruction flow-active-timeout au niveau de la [edit forwarding-options sampling output family (inet | inet6 | mpls)] hiérarchie :
[edit forwarding-options sampling family (inet | inet6 | mpls) output] flow-active-timeout seconds;
Pour configurer la période de temps avant qu’un flux ne soit considéré comme inactif, incluez l’instruction flow-inactive-timeout au niveau de la [edit forwarding-options sampling output] hiérarchie :
[edit forwarding-options sampling family (inet | inet6 | mpls) output] flow-inactive-timeout seconds;
Pour configurer l’interface qui envoie les informations surveillées, incluez l’instruction au interface niveau de la [edit forwarding-options sampling output] hiérarchie :
[edit forwarding-options sampling family (inet | inet6 | mpls) output] interface interface-name { engine-id number; engine-type number; source-address address; }
Cette fonctionnalité n’est pas prise en charge avec le format de modèle de la version 9. Vous devez envoyer les flux de trafic collectés à l’aide de la version 9 vers un serveur. Pour plus d’informations, reportez-vous à la section Collecte de la sortie d’échantillonnage du trafic au format Cisco Systems NetFlow Services Export version 9.
Format de sortie d’échantillonnage du trafic
La sortie de l’échantillonnage du trafic est enregistrée dans un fichier texte ASCII. Voici un exemple de sortie d’échantillonnage du trafic enregistrée dans un fichier du répertoire /var/tmp . Chaque ligne du fichier de sortie contient des informations relatives à un paquet échantillonné. Vous pouvez éventuellement afficher un horodatage pour chaque ligne.
Les en-têtes de colonne sont répétés après chaque groupe de 1000 paquets.
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:57 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:58 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
La sortie contient les champs suivants :
Time : heure à laquelle le paquet a été reçu (affiché uniquement si vous incluez l’instruction
stampdans la configuration)Dest addr : adresse IP de destination dans le paquet
Src addr : adresse IP source dans le paquet
Port Dest : port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) pour l’adresse de destination
Port Src : port TCP ou UDP pour l’adresse source
Proto : type de protocole du paquet
TOS : contenu du champ de type de service (ToS) dans l’en-tête IP
Pkt len : longueur du paquet échantillonné, en octets
Intf num : nombre unique qui identifie l’interface logique échantillonnée
IP frag : numéro de fragment IP, le cas échéant
Indicateurs TCP : tous les indicateurs TCP trouvés dans l’en-tête IP
Pour définir l’option d’horodatage du fichier my-sample, entrez ce qui suit :
[edit forwarding-options sampling family (inet | inet6 | mpls) output file] user@host# set filename my-sample files 5 size 2m world-readable stamp;
Chaque fois que vous activez l’option d’horodatage, un nouvel en-tête est inclus dans le fichier. Si vous définissez l’option d’estampillage , le champ Heure s’affiche.
# Apr 7 15:48:50 # Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags # Feb 1 20:31:21 # Dest Src Dest Src Proto TOS Pkt Intf IP TCP # addr addr port port len num frag flags